共有メッシュの使用 - AWS App Mesh

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有メッシュの使用

共有メッシュは、異なるアカウントで作成されたリソースが同じメッシュの中で互いに通信できるようにするものです。

AWS Identity and Access Management アカウントは、メッシュリソースオーナー、メッシュコンシューマー、またはその両方にすることができます。コンシューマーは、アカウントと共有されるメッシュにリソースを作成できます。オーナーは、アカウントが所有する任意のメッシュにリソースを作成できます。メッシュ所有者は、次のタイプのメッシュコンシューマとメッシュを共有できます。

  • AWS Organizations の組織内または組織外の特定の AWS アカウント

  • AWS Organizations の組織内の組織単位

  • AWS Organizations の組織全体

ある人にとって end-to-end メッシュの共有の手順については、を参照してくださいクロスアカウントメッシュウォークスルーオン GitHub。

共有メッシュのアクセス許可

共有メッシュには、次のアクセス許可があります。

  • コンシューマーは、アカウントと共有されているメッシュ内のすべてのリソースを一覧表示して記述できます。

  • オーナーは、アカウントが所有するメッシュ内のすべてのリソースを一覧表示して説明できます。

  • 所有者とコンシューマーは、アカウントが作成したメッシュのリソースを変更できますが、他のアカウントが作成したリソースを変更することはできません。

  • コンシューマーは、アカウントが作成したメッシュ内の任意のリソースを削除できます。

  • 所有者は、任意のアカウントが作成したメッシュ内の任意のリソースを削除できます。

  • 所有者のリソースは、同じアカウント内の他のリソースのみをリファレンスできます。例えば、仮想ノードは、仮想ノードの所有者と同じアカウントにある AWS Cloud Map または AWS Certificate Manager 証明書のみをリファレンスできます。

  • 所有者とコンシューマーは、アカウントが所有する仮想ノードとして Envoy プロキシを App Mesh に接続できます。

  • 所有者は、仮想ゲートウェイと仮想ゲートウェイルートを作成できます。

メッシュを共有するための前提条件

メッシュを共有するためには、以下の前提条件を満たしている必要があります。

  • AWS アカウントでメッシュを所有している必要があります。すでに共有されているメッシュを共有することはできません。

  • 組織または AWS Organizations の組織単位とメッシュを共有するには、AWS Organizations との共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizations で共有を有効化する」を参照してください。

  • サービスは、相互に通信するメッシュリソースを含むアカウント間で接続を共有しているAmazon VPCにデプロイする必要があります。ネットワーク接続を共有する 1 つの方法は、メッシュで使用するすべてのサービスを共有サブネットにデプロイすることです。詳細および制限事項については、「サブネットの共有」を参照してください。

  • サービスは DNS または AWS Cloud Map を介して検出可能である必要があります。サービスディスカバリの詳細については、「仮想ノード」を参照してください。

AWS Resource Access Manager (AWS RAM)と統合するメッシュ共有。AWS RAM は、AWS リソースを任意の AWS アカウントまたはを AWS Organizations 通じて共有できるようにするサービスです。AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーには、個々の AWS アカウントとする、あるいは AWS Organizations 内の組織単位または組織全体を指定できます。

AWS RAM の詳細については、AWS RAM ユーザーガイドを参照してください。

メッシュを共有する

メッシュを共有すると、異なるアカウントで作成されたメッシュリソースが同じメッシュ内で相互に通信できるようになります。所有するメッシュのみを共有できます。メッシュを共有するには、メッシュをリソース共有に追加する必要があります。リソース共有とは、AWS RAM アカウント間で自身のリソースを共有するための AWS リソースです。リソース共有では、共有対象のリソースと、共有先となるコンシューマーを指定します。Amazon Linux コンソールを使用してメッシュを共有する場合は、既存のリソース共有にそれを追加します。メッシュを新しいリソース共有に追加するには、を使用してリソース共有を作成しますAWS RAMコンソール

あなたが以下の組織の一員ならAWS Organizations組織内での共有が有効になっていると、組織内のコンシューマーには共有メッシュへのアクセス許可を自動的に付与できます。それ以外の場合、コンシューマーはリソース共有に参加するための招待を受け取り、招待を受け入れた後に共有メッシュへのアクセスを許可されます。

AWS RAM コンソールまたは AWS CLI を使用して、所有しているメッシュを共有できます。

AWS RAM コンソールを使用して、自身が所有するメッシュを共有するには

手順については、こちらを参照してください。リソース共有の作成()AWS RAMユーザーガイド。リソースタイプを選択するときは、メッシュを選択し、共有するメッシュを選択します。メッシュがリストされていない場合は、最初にメッシュを作成します。詳細については、「サービスメッシュの作成」を参照してください。

AWS CLI を使用して、自身が所有するメッシュを共有するには

create-resource-share コマンドを実行します。--resource-arns オプションで、共有するメッシュの ARN を指定します。

メッシュの共有解除

メッシュの共有を解除すると、App Mesh はメッシュの以前のコンシューマーによるメッシュへのそれ以上のアクセスを無効にする。ただし、App Mesh はコンシューマーが作成したリソースを削除しません。メッシュの共有が解除されると、メッシュの所有者のみがリソースにアクセスして削除できます。App Mesh は、メッシュ内のリソースを所有しているアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。また、App Mesh は、メッシュにリソースを持つ他のアカウントが非共有メッシュから設定情報を受け取ることを防ぎます。メッシュの所有者のみが共有を解除できます。

所有している共有メッシュの共有を解除するには、リソース共有からメッシュを削除する必要があります。これを行うには、AWS RAM コンソールまたは AWS CLI を使用できます。

AWS RAM を使用して所有している共有メッシュの共有を解除するには

手順については、こちらを参照してください。リソース共有の更新()AWS RAMユーザーガイド

AWS CLI を使用して所有している共有メッシュの共有を解除するには

disassociate-resource-share コマンドを実行します。

共有メッシュの特定

所有者とコンシューマは、Amazon Linux コンソールとを使用して共有メッシュとメッシュリソースを識別できますAWS CLI

Amazon Linux コンソールを使用して共有メッシュを識別するには

  1. App Mesh コンソールを開きます。https://console.aws.amazon.com/appmesh/

  2. 左のナビゲーションペインで [メッシュ] を選択します。各メッシュのメッシュ所有者のアカウント ID は、[メッシュ所有者]列に一覧表示されます。

  3. 左側のナビゲーションから、[仮想サービス]、[仮想ルーター]、または[仮想ノード]を選択します。各リソースのメッシュ所有者リソース所有者のアカウント ID が表示されます。

AWS CLI を使用して共有メッシュを識別するには

aws appmesh list-meshes などの aws appmesh list resource コマンドを使用します。このコマンドは、所有しているメッシュと共有されているメッシュを返します。meshOwner プロパティは、meshOwner の AWS アカウント ID を示し、resourceOwner プロパティは、リソース所有者の AWS アカウント ID を示します。メッシュリソースに対してコマンドを実行すると、これらのプロパティが返されます。

共有メッシュにアタッチしたユーザー定義のタグは、AWS アカウント。メッシュを共有している他のアカウントでは使用できません。-aws appmesh list-tags-for-resource別のアカウントのメッシュのコマンドがアクセス拒否されました。

請求と使用量測定

メッシュの共有は無料です。

インスタンスクォータ

メッシュにリソースを作成したユーザーに関係なく、メッシュのすべてのクォータは共有メッシュにも適用されます。メッシュの所有者のみがクォータの増加を要求できます。詳細については、「App Mesh Service Quotas」を参照してください。AWS Resource Access Manager サービスにもクォータがあります。詳細については、「Service Quotas」を参照してください。